1999年5月21日
情報処理振興事業協会
コンピュータ不正アクセス被害の届出状況について
1.はじめに
IPA(情報処理振興事業協会、石井賢吾理事長)は、1999年4月のコンピュータ不正アクセス被害の届出状況をまとめた。
コンピュータ不正アクセス被害の届出制度は、通商産業省のコンピュータ不正アクセス対策基準(1996年8月8日付通商産業省告示第362号)に基づき、1996年8月にスタートした制度であり、同基準において、コンピュータ不正アクセスの被害を受けた者は、被害の拡大と再発を防ぐために必要な情報をIPAに届出ることとされている。
2.届出の状況
2.1 1999年4月の届出の概要
1999年4月のコンピュータ不正アクセス被害の届け出が6件あった(別紙参照)。概要を以下に報告する。
(1)スキャニング
ポートスキャン(*1)もしくは類似のスキャニングツールによると思われるアクセスに関する届出が5件あった。いずれもログの確認のレポートであり、実際の被害には遭っていない。
- ケース1
- 下記のようないくつかのパターンでアクセスされている。
- ポート番号1300〜2000の跳び番号への順次のアクセス
- finger(*3)、telnet(*4)、http(*5)等の各ポートへの繰り返し(サイクリック)アクセス
- rpc(*6)、ftp(*7)、pop3(*8)の各ポートへの繰り返し(サイクリック)アクセス
- telnetポートへの繰り返しのアクセス
- ケース2
- 毎月同一組織から届出されているもの。
- 既に前月分プレスリリースにて報告しているが3月分(4月6日届出)に関しては約100件のアクセス、4月分(5月6日届出)に関しては18日までで約70件のアクセスであった。アクセス元は国、組織とも多岐に渡っており、多くは1回(1日)限りのものである。3日から5日連続でアクセスがきているアドレス、数日から一月程度の間を置いてアクセスにきているアドレスが少数ある。
- ケース3
- 複数のマシンに複数ポートでアクセスされている。
- ケース4
- imap(*9)、telnet、pop3、finger、ftp、phf(*10)の各ポートにアクセスされている。
- ケース5
- telnet、ftp、ssh(*11)の各ポートにアクセスされている。
- )ポートスキャン:98年6月頃より出回っているポート(*2)やアドレスに順次アクセスするツール。
- )ポート:元来港の意味であり、マシン同志が通信を行なう際に利用される口のこと。ほとんどの場合、種々の通信はそれぞれのサービスに固有のポートを使って行われる。その対応情報は例えば /etc/services (UNIXの場合)といったファイルに記載されている。
- )finger:ローカルユーザとリモートユーザに関する情報の表示を行うプログラム。
- )telnet:TELetype NETwork。ネットワーク経由で他のマシンへ接続する際に用いられるプロトコル、またそのためのプログラム。外部ネットワークから利用可能になっている場合、侵入口として狙われることが多い。
- )httpd:WEB(World Wide Web 所謂ホームページ)のサーバソフトウェア。
- )rpc:Remort Procedure Call。ネットワーク上の異なるマシンで処理を実行する手続き。あるいはそのプロトコル。分散コンピューティング環境の基盤となる技術。
- )ftp:File Transfer Protocol。TCP/IP(国際標準のプロトコル)をベースとしたネットワークシステムにおいてファイルを転送するためのプロトコル。また、そのためのプログラム。
- )pop3:Post Office Protocol Version3。電子メール受信用プロトコル。メールサーバが受信し蓄積したメールをクライアントが取り出すときに使われる。
- )IMAP:Internet Message Access Protocol。電子メール送受信用プロトコル。メールサーバ上のメールもしくは掲示板のメッセージをクライアントから読み書きするのに使われる。
- )phf:サーバで利用するCGIに特定のコードが含まれているとセキュリティホールとなる。サーバソフトウェアの中には、標準のインストールの際に該当のサンプルプログラムをインストールするものがあり、その名称がphfである。
- )ssh :Secure Shell。 ネットワークを介してコンピュータにログインするプログラムで、遠隔地のマシンでコマンドを実行したり他のマシンへファイルを移したりするために使われる。
(2)spam(*12)メール
spamメールに関する届出が1件あった。
マシンの負荷が異様に高くなり、システム管理者が調査を行ったところ、spamメールの送付に利用されていた。
内部に侵入して利用したと思しき形跡もあり、詳細は調査中である。
- )spamメール:大量に送られる(ばらまかれる)メールのこと。
2.2 注意事項
(1)スキャニング
スキャニングツールを利用していると思われるポートへのアクセスが引き続き行われている。
ポートスキャンに関しては以下を参照のこと。
http://www.jpcert.or.jp/info/98-0004/
(2)spamメール中継
spamメールの中継への対策としては、第三者間のリレーを拒否する設定が基本となるが、運用によっては特定の外部アドレスの間の中継を許可する場合がある。システム管理者は、sendmailやFC、その他関連ソフトウェアのマニュアル類を確認の上、適切に設定して使用されたい。
IPAでは皆様方から届け出された不正アクセス被害について原因分析を行い、当協会内に設置したコンピュータ不正アクセス対策委員会の協力のもと対策を策定していきます。策定した対策はマスメディア等の協力を得て皆様方に広報するとともに今後の国の施策に反映して行きます。これからもコンピュータ不正アクセス被害の届け出にご協力をお願いします。
問い合わせ先 IPA(情報処理振興事業協会)
セキュリティセンター不正アクセス対策室
TEL (03)5978−7508
FAX (03)5978−7518
e-mail isec-info@ipa.go.jp